针对企业Web、TCP和SaaS应用程序的自适应访问和安全控制

在当今不断变化的情况下，应用程序安全性对任何企业都至关重要。做出上下文感知的安全决策，然后启用对应用程序的访问，在启用对用户的访问的同时降低了相关的风险。

Citrix Secure Private Access服务自适应访问特性提供了一种全面的零信任访问方法，可为应用程序提供安全访问。自适应访问使管理员能够为用户可以基于上下文访问的应用程序提供粒度级别的访问。这里的“上下文”指的是:

• 用户和组(用户和用户组)
• 设备(桌面或移动设备)
• 位置(地理位置或网络位置)
• 设备姿势(设备姿势检查)
• 风险(用户风险评分)

自适应访问特性对正在访问的应用程序应用自适应策略。这些策略根据上下文确定风险，并做出动态访问决策，以授予或拒绝对Enterprise Web、TCP或SaaS应用程序的访问。

它是如何工作的

管理员可以根据用户、用户组、用户访问应用的设备、用户访问应用的位置(国家/地区或网络位置)和用户风险评分来创建策略，以允许或拒绝用户访问应用。

自适应访问策略优先于在安全私有访问服务中添加SaaS或Web应用程序时配置的特定于应用程序的安全策略。每个应用级别的安全控制被自适应访问策略覆盖。

自适应访问策略分为以下三种场景:

• 在从安全私有访问服务枚举Web、TCP或SaaS应用程序期间—如果拒绝此用户访问应用程序，则用户无法在工作区中看到此应用程序。

• 在启动应用程序时——在你枚举应用程序之后，如果自适应策略被更改为拒绝访问，即使应用程序之前被枚举，用户也无法启动应用程序。

• 当应用程序在Citrix企业浏览器或安全浏览器服务中打开时- Citrix企业浏览器强制执行一些安全控制。这些控制由客户端执行。当启动Citrix Enterprise Browser时，服务器为用户评估自适应策略，并将这些策略返回给客户机。然后，客户端在Citrix Enterprise Browser中本地执行这些策略。

创建自适应访问策略

1. 在安全私人访问服务标题，点击管理．
2. 在“安全私有访问”首页单击访问策略在导航页面。

3. 点击创建政策。

   注意:

   对于第一次使用的用户访问策略登陆页面不显示任何策略。点击创建政策创建策略。创建策略后，可以在这里看到它的列表。

1. 对于这些应用程序—此字段列出管理员在安全私有访问服务中配置的所有应用程序。管理员可以选择应用此自适应策略的应用。

2. 如果满足以下条件—选择需要评估此自适应访问策略的上下文。

   重要的是:

   的用户或组Condition是一个必须满足的条件，以便为用户授予对应用程序的访问权限。在用户/用户组，选择以下条件。

   • 不匹配任何—除字段中列出的用户或组外，所有用户或组都可以访问。
   • 匹配任何—只有匹配字段中列出的任何名称的用户或组才允许访问。

   

3. 点击添加条件可根据您的要求添加额外条件。对条件执行AND操作，然后评估自适应访问策略。

   

4. 然后执行以下操作—如果符合设置的条件，管理员可以为访问应用的用户选择执行的动作。
   • 允许访问—不预设任何条件，允许访问。注意:此选项仅适用于基于浏览器的应用程序。
   • 拒绝访问—选中后，拒绝访问应用程序。所有其他选项都是灰色的。

   • 允许有限制的访问—选择已设置的安全策略组合。这些安全策略组合是在系统中预定义的。管理员不能修改或添加其他组合。当你选择允许有限制的访问，您可以根据自己的需求选择安全控制。可以为应用程序启用以下安全限制。

     • 限制剪贴板访问:禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作
     • 限制印刷:禁用从Citrix企业浏览器中打印的功能
     • 限制下载:禁用用户从应用程序内下载的能力
     • 限制上传:禁用用户在应用程序内上传的能力
     • 显示水印:在用户屏幕上显示水印，显示用户机器的用户名和IP地址
     • 限制键记录:防止键盘记录器。当用户尝试使用用户名和密码登录应用程序时，所有密钥都会在密钥记录器上加密。此外，用户在应用程序上执行的所有活动都受到保护，不受密钥记录的影响。例如，如果在Office365中启用了应用程序保护策略，并且用户编辑了Office365中的word文档，那么所有的击键都会在密钥记录器上加密。
     • 限制屏幕截图:禁用使用任何屏幕捕获程序或应用程序捕获屏幕的能力。如果用户试图捕获屏幕，则捕获一个空白屏幕。

   注意:

   对于TCP应用程序，两者都有允许访问和拒绝访问选项可用。

   

5. 在政策的名字，输入策略名称。
6. 将切换开关打开以启用该策略。
7. 点击创建政策．

基于用户或组的自适应访问

如果需要配置基于用户或组的自适应访问策略，请使用创建自适应访问策略程序进行以下更改。

• 在如果满足以下条件中,选择用户或组．

• 如果您已经配置了多个用户或组，那么请根据您的需求选择以下其中一个。
  • 匹配任何—用户或组匹配数据库中配置的任何用户或组。
  • 不匹配任何—用户或组与数据库中配置的用户或组不匹配。
• 完成策略配置。

基于设备的自适应接入

若要根据用户访问应用程序的平台(移动设备或桌面计算机)配置自适应访问策略，请使用创建自适应访问策略程序进行以下更改。

• 在如果满足以下条件中,选择桌面或移动设备．
• 完成策略配置。

基于位置的自适应访问

管理员可以根据用户访问应用程序的位置配置自适应访问策略。位置可以是用户访问应用程序的国家，也可以是用户的网络位置。网络位置使用IP地址范围或子网地址定义。

如果需要配置基于位置的自适应访问策略，请使用创建自适应访问策略程序进行以下更改。

• 在如果满足以下条件中,选择地理位置或网络位置．
• 如果您已经配置了多个地理位置或网络位置，那么请根据您的需求选择以下其中一个。
  • 匹配任何—地理位置或网络位置与数据库中配置的任何地理位置或网络位置匹配。
  • 不匹配任何—地理位置或网络位置与数据库中配置的地理位置或网络位置不匹配。

  注意:

  • 如果你选择地理位置，则使用国家数据库的IP地址对用户的源IP地址进行评估。如果用户的IP地址与策略中的国家对应，则该策略被应用。如果国家不匹配，则跳过此自适应策略，并评估下一个自适应策略。

  • 为网络位置，可以选择已有的网络位置，也可以新建网络位置。要创建新的网络位置，请单击创建网络位置．

  

  • 您还可以从Citrix Cloud控制台创建网络位置。有关详情，请参阅思杰云网络位置配置．
• 完成策略配置。

基于设备姿态的自适应访问

Citrix Secure Private Access服务通过使用本地Citrix网关或Citrix托管的Citrix网关(自适应身份验证)作为Citrix Workspace的IdP，提供基于设备状态的自适应访问。企业Web、TCP或SaaS应用程序可以根据EPA检查结果和配置的智能访问策略对最终用户进行枚举或隐藏。

注意:自适应认证是Citrix Cloud的一项服务，为登录Citrix Workspace的用户提供高级认证功能。自适应身份验证提供了一个在云中运行的网关实例，您可以根据需要为该实例配置身份验证机制。

先决条件

• 必须为Citrix Workspace配置Citrix Gateway作为IdP。有关详情，请参阅使用本地Citrix网关作为Citrix Cloud的身份提供者．
• Citrix ADC发布版本13.0 Build 82.109或更高版本。
• 在Citrix网关设备上配置智能访问标签。

理解事件的流程

• 用户在浏览器中输入工作区URL，或者使用本地的Citrix工作区应用程序连接到工作区存储。
• 用户被重定向到配置为IdP的Citrix网关。
• 提示用户允许在设备上执行EPA检查。
• 在用户同意扫描设备后，Citrix网关执行EPA检查，并根据设备ID向CAS写入智能接入标签。
• 用户通过Citrix Gateway IdP和配置的认证机制登录到Citrix Workspace。
• Citrix网关为Citrix Workspace和Secure Private access提供智能访问策略信息。
• 用户被重定向到Citrix Workspace主页。
• Citrix Workspace对配置为IdP的Citrix网关提供的智能接入标签进行处理，然后确定需要枚举并显示给最终用户的应用。

配置场景——基于设备姿态扫描的企业Web、TCP或SaaS应用枚举

步骤1:使用Citrix Gateway GUI配置智能接入策略

1. 导航到安全> aaa -应用流量>策略>认证>高级策略>智能接入>配置文件．
2. 在Profiles选项卡上，单击添加创建配置文件。

1. 在标签，输入智能门禁标签名称。这是创建自适应访问策略时必须手动输入的标记。
2. 导航到安全> aaa -应用流量>策略>认证>高级策略>智能接入>策略．
3. 点击添加创建策略。

1. 在行动，选择前面创建的概要文件并单击添加．
2. 在表达式，创建策略表达式，单击好吧．

步骤2:创建自适应访问策略

执行中详细说明的步骤创建自适应访问策略程序进行以下更改。

• 在如果满足以下条件中,选择设备姿势检查．
• 如果您配置了多个智能访问标签，则根据需要选择以下其中一个。
  • 匹配所有—设备ID与登录时写入的所有针对设备ID的智能接入标签匹配。
  • 匹配任何—设备ID与登录Citrix Workspace时写在设备ID上的标签匹配。
  • 不匹配任何—登录Citrix Workspace时，设备ID与设备ID不匹配。
• 在输入自定义标签，手动输入智能门禁标签。这些标签必须与在Citrix Gateway (创建认证智能访问配置文件>标签)。

注意事项

• 姿势评估仅在您登录到Citrix Workspace时发生(仅在身份验证期间)。
• 在当前版本中，没有进行连续的设备姿势评估。如果在用户登录到Citrix Workspace后设备上下文发生了变化，那么策略条件对设备状态评估没有任何影响。
• 设备ID是为每个终端用户设备生成的GUID。如果访问Citrix Workspace的浏览器被更改、cookies被删除或使用了隐身/私有模式，则设备ID可能会发生变化。但是，此更改不会影响策略评估。

基于用户风险评分的自适应访问

重要的是:

只有当客户拥有Security Analytics权限时，才可以使用此功能。

用户风险评分是一个评分系统，用于确定企业中与用户活动相关的风险。风险指标分配给看起来可疑或可能对您的组织构成安全威胁的用户活动。当用户行为偏离正常时触发风险指标。每个风险指标可以有一个或多个与之相关的风险因素。这些风险因素可以帮助您判断用户事件中的异常类型。风险指标及其相关的风险因素决定了用户的风险评分。风险评分是定期计算的，并且在风险评分的操作和更新之间存在延迟。有关详情，请参阅思杰用户风险指标．

配置带有风险评分的自适应访问策略时，使用创建自适应访问策略程序进行以下更改。

• 在如果满足以下条件中,选择用户风险评分．

• 请根据以下三种用户风险情况配置自适应访问策略。

  • 从CAS服务获取的预设标签

    • 低1 - 69
    • 媒介70 - 89
    • 高90 - 100

    注意:

    风险得分为0不被认为具有“低”风险水平。

  • 阈值类型
    • 大于或等于
    • 小于或等于
  • 数字范围
    • 范围